ハッキングコンテスト「Pwn2Own」に自動車部門が新設

「Pwn2Own」は、パソコンのセキュリティソフトで知られるトレンドマイクロ参加の「ZERO DAY INITIATIVE」が2007年から開催（年2回）しているハッキングコンテストです。次回は2020年3月18～20日にカナダで開催されます。

【ニュースリリース】
PWN2OWN RETURNS TO VANCOUVER FOR 2020

トレンドマイクロはハッキングコンテストを実施することにより、顕在化していないソフトウエアやオペレーティングシステムの脆弱性を洗い出し、セキュリティーの向上を目指しています。コンテストにはマイクロソフトやVMWareなどがスポンサーになり、総額100万ドル以上の賞金を出しています。テスラ社もそうしたスポンサーのひとつになります。

参加するハッカーは特定の課題に対してハッキングを試み、侵入や乗っ取りに挑戦します。コンテストの課題は、マイクロソフトのEdgeやグーグルのChrome、アップルのSafari、MozillaのFirefoxといったブラウザのほか、マイクロソフトオフィスやアドビ・リーダーなどのソフトウエアなどです。

テスラ社は2019年3月にカナダで開催されたこのハッキングコンテストに、自動車メーカーとして初めて課題を提供しました。ターゲットは、モデル3のブラウザなどのハッキングです。

その結果、EdgeやSafariを乗っ取るなど他の課題でも大きな成果を挙げた「Fluoroacetate」という2人組の研究者チームが、モデル3のWEBブラウザに自分たちのメッセージを表示させることに成功。3万5000ドルとモデル3の新車を手に入れました。ちなみにFluoroacetateはこのコンテストで、総額37万500ドルを獲得しています。

このコンテスト終了後の2019年3月22日、イーロン・マスクCEOはツイッターで「About to be upgraded to Chromium」と発言。テスラ車の車載ブラウザーをアップデートすることを明らかにしました。ChromiumはオープンソースのWEBブラウザー開発プロジェクトで、グーグルのChromeのほか、現在はマイクロソフトのEdgeもChromiumをベースにしています。

【関連記事（electrek）】
Tesla is updating its in-car internet browser with Google’s Chromium, says Elon Musk

イーロンのツイート

About to be upgraded to Chromium

— Buff Mage (@elonmusk) 2019年3月22日

ホワイトハッカーと協力してきたテスラ社

今回のモデル3のハッキングでは、最高賞金額は50万ドルと、モデル3の新車が提供されます。ハッキングの課題は困難さに応じて3段階に分かれています。

賞金50万ドルの最高ランクのティア1では、ワイファイやブルートゥースなどを介してシステムに入り、インフォテインメントなどの中間システムを経由して、ゲートウエイやオートパイロットで任意のコードを実行することがターゲットになっています。

ティア2では前記のうちの2つの課題の実行が目標で、ティア3では各サブシステムに個別に侵入することなどが課題になっています。

テスラ社が参加することについて、主催者のZero Day Initiativeはブログで次のように述べています。

「私たちは、10年近く前にコネクテッドカーと無線による更新の概念を開拓し、それ以来この分野をリードしてきたテスラを含めたいと考えていました。今年、テスラはコンテストに戻ってきます。新しいモデル3を打ち負かすのは、今年のターゲットの中でもより難しい挑戦になります。つまり、報酬もより高くなることを意味します」

テスラ社は従前から、ホワイトハッカーの協力を得てソフトウエアの改善をしてきました。

2014年にバグ報奨金プログラムを開始し、現在は、見つかったバグひとつにつき、最高1万5000ドルの懸賞金を出しています。米メディアの『electrek』は2019年1月14日付けの記事で、テスラ車は2018年までの4年間で脆弱性を発見したハッカーに数十万ドルの報奨金を出した可能性があることを報じています。

この報奨金プログラムの特長は、“事前承認済みの誠実なセキュリティー調査”のために車両がハッキングされた場合は、車両の保証を無効にしないとしている点です。

ハッキングによってプログラムが変更されると、場合によっては車が文鎮化してしまうおそれがあります。文鎮化しなくても、iPhoneのように脱獄すると保証が無効化する場合もあります。

こうした懸念を取り除き、ホワイトハッカーの協力を得るプログラムを自動車メーカーが公開の場で実施するのは極めて特異なものといえます。創業者たちも現役世代もIT出身者が多いテスラ社ならではの方法といえるかもしれません。

車載コンピューターのハッキングはよくあることだけど

話はちょっと変わります。筆者は2006年にカリフォルニア州のロサンゼルスとサンフランシスコで、プリウスをPHEVに改造した人たちを取材したことがありました。個人的にやっている人と、エネルギーマネジメントのデバイスを開発している社員数人のベンチャー企業でした。

当時のプリウスは2代目で、もちろん高速域でフル電動で走ることはできません。でも彼らのプリウスは、ニッケル水素電池からリチウムイオン電池に換装したり増設するなどして、外部から充電できるようにしていたほか、時速100kmくらいまではEV走行ができました。

このことをトヨタやホンダの関係者に話したら、ちょっとびっくりした顔をしながらも、「そういうの、アメリカだとあるよね」と納得していました。それでもトヨタ関係者は、信じられないという言葉も漏らしていました。

プリウスの場合、そもそも電池を増設するだけで大きなハードルがあります。さらには高速域までEV走行をするとなると、車載コンピューターの基本的な部分を大幅に書き替える必要があります。そんなことができるハッカーは、当時は日本にはいませんでした。

カリフォルニア州の人たちの中には、名門のカリフォルニア工科大学出身で、何十年も前にマサチューセッツ工科大学とEVで東西から大陸横断をする競争をしたことをある人もいました。

当時は取材をしながら、アメリカにはそういう人たちがゴロゴロいるんじゃないのか、もしかしなくてもIT分野では日米の差は埋まらないくらい開いたのではないか、それにバグを消すのならこういう人たちがいないとできないのではないか、などと考えていました。

ソフトウエアの信頼性を向上するには、ハードウエア同様、さまざまなテストを繰り返す以外に方法はありません。これから自動運転が登場することになれば、格段に高い信頼性が求められるようにもなります。外部からの攻撃にさらされることが増えるのも間違いありません。その時にどのような手段で防御するのか。予防措置をどう構築するのか。

ハッキングコンテストに参加し、ホワイトハッカーに報奨金を出すテスラ社の手法は、車が電動化するだけでなく、ますます電子制御のかたまりになっていく中で、すべての自動車メーカーが一考する価値があるのではないでしょうか。そして、その人材を育成する必要があるのは、言うまでもないことだと思います。

（文／木野 龍逸）